Live ID jako przynęta: Kaspersky Lab ostrzega przed nowym oszustwem

"Uczciwy" phishing

Użytkownicy otrzymują wiadomości z ostrzeżeniem, że ich konta Windows Live ID są wykorzystywane do rozsyłania niechcianych e-maili i mogą zostać zablokowane. Aby tego uniknąć, należy kliknąć odnośnik i uaktualnić dane zgodnie z nowymi wymaganiami usługi. Brzmi to jak typowa treść wiadomości phishingowej - od ofiar oczekuje się kliknięcia odnośnika, który prawdopodobnie otworzy sfałszowaną stronę logowania, gdzie użytkownicy dobrowolnie "przekażą" atakującym swoje loginy, hasła i inne poufne informacje. Tym razem jest jednak inaczej - eksperci z Kaspersky Lab byli zdziwieni, gdy okazało się, że odnośnik w cyberprzestępczej wiadomości kieruje do oficjalnej strony Windows Live, a do tego nie pojawiły się żadne próby wyłudzenia danych od użytkowników.

Na czym polega trik?

Po kliknięciu odnośnika z wiadomości e-mail i pomyślnym zalogowaniu się do swojego konta na oficjalnej stronie live.com użytkownik otrzymuje nietypowe powiadomienie od usługi. Komunikat informuje, że aplikacja zażądała zgody na automatyczne logowanie się do konta, przeglądanie profilu i listy kontaktów oraz na uzyskiwanie dostępu do listy osobistych adresów e-mail użytkownika. Cyberprzestępcy zdołali wykorzystać tę technikę poprzez użycie błędów w otwartym protokole uwierzytelniania - OAuth.

Użytkownicy, którzy klikną "Tak", nie przekazują atakującym swoich danych logowania, ale dają im dostęp do osobistych informacji, takich jak adresy e-mail, pseudonimy, a nawet prawdziwe imiona i nazwiska ich znajomych. Cyberprzestępcy mogą także mieć wgląd w inne dane, takie jak listy spotkań i ważnych wydarzeń, w których ma zamiar uczestniczyć ofiara ataku. Wszystkie te informacje mogą zostać wykorzystane do przeprowadzania dalszych oszustw i podszywania się pod inne osoby.

"O lukach w bezpieczeństwie protokołu OAuth wiemy już od jakiegoś czasu - na początku 2014 r. student z Singapuru zaprezentował metodę pozwalającą ukraść dane użytkownika po tym jak zaloguje się on do danej usługi. Jednak po raz pierwszy widzimy zastosowanie tej techniki w phishingowych e-mailach wysyłanych przez cyberprzestępców. Oszust może wykorzystać ten zabieg do stworzenia pełnych profili użytkowników, łącznie z informacjami o tym, co robią, z kim się spotykają, kto należy do grona ich przyjaciół itp. Profile takie mogą być następnie wykorzystywane do celów przestępczych" - powiedział Andriej Kostin, starszy analityk treści, Kaspersky Lab.

Zalecenia dla użytkowników i twórców aplikacji

Eksperci z Kaspersky Lab przygotowali kilka porad, które pozwolą użytkownikom uchronić się przed atakami phishingowymi wykorzystującymi Live ID:

• Nie klikaj odnośników docierających w e-mailach lub wiadomościach prywatnych na portalach społecznościowych.
• Nie udzielaj nieznanym aplikacjom dostępu do Twoich danych osobistych.
• Upewnij się, że rozumiesz uprawnienia, których udzielasz poszczególnym aplikacjom.
• Jeżeli odkryjesz, że jakaś aplikacja rozsyła spam lub niebezpieczne odnośniki w Twoim imieniu, zgłoś sprawę do administratora portalu społecznościowego lub usługi online, której to dotyczy. Dzięki temu administrator będzie mógł szybko zablokować niebezpieczną aplikację.
• Stosuj oprogramowanie antywirusowe z wbudowaną ochroną przed phishingiem i dbaj o to, by było zawsze aktualne.

Twórcy aplikacji online wykorzystujących protokół OAuth powinni skorzystać z następujących zaleceń:

• Unikaj korzystania z otwartych przekierowań na swoich stronach.
• Stwórz białą listę zaufanych adresów i stosuj ją do przekierowań realizowanych poprzez protokół OAuth. Oszuści mogą realizować ukryte przekierowania do szkodliwych stron, korzystając z aplikacji, które uda się zaatakować i zmienić ich parametr "redirect_uri".

Źródło informacji: firma Kaspersky Lab